【儀表網(wǎng) 行業(yè)科普】工業(yè)人工智能(AI)的未來似乎一片光明。許多初步研究和試點項目表明，通過將生產(chǎn)系統(tǒng)連接到 AI 引擎，可以顯著提高效率并節(jié)省成本。但現(xiàn)實是，必須面對一個嚴(yán)峻的挑戰(zhàn)。
 

　　我們?nèi)绾未_保這些生產(chǎn)系統(tǒng)及其數(shù)據(jù)的絕對安全？畢竟，大多數(shù) AI 工具都是基于云的。我們需要的是從工廠到在云端運行的 AI 系統(tǒng)的安全和實時連接。
 

　　確保工業(yè)數(shù)據(jù)安全的推薦方法是完全的網(wǎng)絡(luò)分段。運營技術(shù)(OT)系統(tǒng)應(yīng)與互聯(lián)萬和云系統(tǒng)完全隔離。最好使用非軍事區(qū)(DMZ)來完成此操作，將生產(chǎn)網(wǎng)絡(luò)保持在封閉的防火墻后面。世界各地的政府和行業(yè)領(lǐng)導(dǎo)者都同意這種基本的工業(yè)網(wǎng)絡(luò)安全實踐，NIS2 指令和 NIST CSF 2.0 也要求這樣做。
 

　　對工業(yè)通信的挑戰(zhàn)
 

　　通過 DMZ 將數(shù)據(jù)從生產(chǎn)環(huán)境傳輸?shù)交谠频?AI 系統(tǒng)需要兩個步驟：工廠到 DMZ ；以及從DMZ 到云。但是，OPC-UA 和 MQTT 并非為此類途徑而設(shè)計。盡管它們經(jīng)常用于工業(yè)物聯(lián)網(wǎng)和工業(yè) 4.0 系統(tǒng)，但它們是在 2000 年代初期構(gòu)思的，遠(yuǎn)在人們考慮將工業(yè)數(shù)據(jù)遷移到云之前。
 

　　OPC UA 協(xié)議本身過于復(fù)雜，無法在跨多臺服務(wù)器的菊花鏈模式中很好地復(fù)制。信息可能會在第一跳丟失。跨 DMZ 傳輸數(shù)據(jù)所需的同步多跳交互將非常脆弱，可能會導(dǎo)致高延遲。
 

　　另一方面，MQTT 可菊花鏈模式連接，但它需要單獨配置鏈中的每個節(jié)點，并意識到它是鏈的一部分。MQTT 中的服務(wù)質(zhì)量(QoS)保證無法通過鏈傳播，這使得鏈末端的數(shù)據(jù)不可靠。因此，MQTT 最好僅用作最后一步，將數(shù)據(jù)從 DMZ 移動到云。
 

　　那么，將 OPC UA 和 MQTT 相結(jié)合會怎么樣？將數(shù)據(jù)安全地從工廠傳輸?shù)?DMZ 是一項挑戰(zhàn)。在該步驟中使用 OPC UA 有一個嚴(yán)重的陷阱，因為它需要在生產(chǎn)網(wǎng)絡(luò)上打開防火墻。DMZ 上的任何 OPC UA 客戶端都需要通過防火墻連接到工廠中的 OPC UA 服務(wù)器。為這種連接打開工廠防火墻的風(fēng)險太高，大多數(shù)安全管理員都不會允許這樣做。
 

　　隧道/鏡像技術(shù)
 

　　由于 OPC-UA 和 MQTT 單獨或一起都不足以通過 DMZ 傳遞數(shù)據(jù)，因此需要另一種方法，即一種與兩種協(xié)議完美集成的方法。具有統(tǒng)一命名空間的安全隧道/鏡像軟件提供了一種解決方案。它可以在兩端建立連接，并沿著 DMZ 支持所需的菊花鏈模式連接傳遞數(shù)據(jù)。
 

圖：處理來自O(shè)T網(wǎng)絡(luò)的數(shù)據(jù)通過DMZ流向AI云服務(wù)。圖片來源：Skkynet
 

　　隧道或鏡像連接通常使用兩個軟件組件。第一個組件在生產(chǎn)級別進行必要的連接，以將來自各種行業(yè)協(xié)議的數(shù)據(jù)收集到單個統(tǒng)一的命名空間中。然后，它將數(shù)據(jù)通過隧道傳輸?shù)?DMZ 上運行的第二個組件。
 

　　第二個組件將數(shù)據(jù)轉(zhuǎn)換為 MQTT，并將其從 DMZ 發(fā)送到云中的 AI 服務(wù)。隧道/鏡像軟件的鏡像功能使原始數(shù)據(jù)源、DMZ 和 AI 系統(tǒng)之間的數(shù)據(jù)保持一致。
 

　　防火墻和數(shù)據(jù)二極管
 

　　如前所述，生產(chǎn)系統(tǒng)上的所有入站防火墻端口必須始終保持關(guān)閉狀態(tài)。隧道/鏡像系統(tǒng)必須能夠建立從生產(chǎn)網(wǎng)絡(luò)到 DMZ 的僅出站連接。
 

　　此外，一些高安全性的關(guān)鍵基礎(chǔ)設(shè)施應(yīng)用需要硬件數(shù)據(jù)二極管，以確保沒有任何數(shù)據(jù)包可以從 DMZ 發(fā)送回工業(yè)網(wǎng)絡(luò)。隧道/鏡像系統(tǒng)需要為這些應(yīng)用程序支持該級別的安全架構(gòu)。
 

　　其他 AI 應(yīng)用的實施可能需要雙向數(shù)據(jù)流，以實現(xiàn)無需干預(yù)的監(jiān)督控制或類似數(shù)據(jù)輸入回生產(chǎn)系統(tǒng)。隧道/鏡像技術(shù)應(yīng)該足夠靈活，以便在需要時支持這一點。
 

　　在任何情況下，都不應(yīng)訪問 AI 系統(tǒng)使用的數(shù)據(jù)以外的數(shù)據(jù)。工廠工程技術(shù)人員應(yīng)能完全控制哪些數(shù)據(jù)可以使用。
 

　　總而言之，為了優(yōu)化生產(chǎn)系統(tǒng)，當(dāng)今許多公司都在轉(zhuǎn)向工業(yè) AI。他們面臨的挑戰(zhàn)是如何在不影響安全性的情況下訪問所需的數(shù)據(jù)。這很困難，但并非不可能。您可以擁有零攻擊面的 OT 網(wǎng)絡(luò)，并且仍向基于云的 AI 系統(tǒng)提供數(shù)據(jù)。安全性由 DMZ 提供。使用精心設(shè)計的隧道/鏡像軟件可以通過 DMZ 訪問生產(chǎn)數(shù)據(jù)。